Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.

ETH-Forscher und IBM identifizieren neue Hardware-Sicherheitslücke

Sie heisst «Smotherspectre» und könnte uns noch länger beschäftigen ...



Forschende der ETH Lausanne und von IBM haben eine weitverbreitete Sicherheits-Schwachstelle identifiziert, die Laptops, Desktops und Server-Hardware betrifft. Ein Hacker kann dabei einen Optimierungsprozess der CPU nutzen, um Daten abzugreifen.

Die neue Schwachstelle namens «Smotherspectre» ähnele den vergangenes Jahr identifizierten Sicherheitslücken «Spectre» und «Meltdown» der Intel CPUs, sei aber neu, schrieb die ETH Lausanne (EPFL) am Mittwoch in einer Mitteilung.

Le nouveau logo de l'EPFL est devoile par un drone devant le Rolex Learning Center lors du lancement du 50 eme anniversaire de l' Ecole Polytechnique Federale de Lausanne, EPFL, ce lundi 18 mars 2019 a l'EPFL a Lausanne. (KEYSTONE/Laurent Gillieron)

Diese Woche hat die Ecole Polytechnique Federale de Lausanne (EPFL) ihr neues Logo vorgestellt. Bild: KEYSTONE

«Spekulative Seitenkanalattacke»

In Fachkreisen nennt man solche Angriffspunkte eine «spekulative Seitenkanalattacke». Dabei macht sich ein Hacker eine CPU-Optimisierungstechnik zunutze, in welcher die CPU zukünftige Befehle abschätzt und bereits «spekulativ» prozessiert. Das steigert die Leistung der Chips. Lag die Schätzung daneben, werden die Befehle verworfen. Dadurch entsteht aber ein sogenannter «Seitenkanal», aus dem ein Angreifer Informationen abgreifen kann.

«Spectre» und «Meltdown» machten sich diese spekulative Ausführung ebenfalls zunutze, aber die von den EPFL- und IBM-Forschenden beschriebene Schwachstelle geht noch etwas tiefer, wie die EPFL mitteilte. Sie bezieht sich auf den «Stau», der entstehen kann, wenn auf einer CPU eine Serie von Befehlen gleichzeitig ausgeführt wird. Eine «Smotherspectre»-Attacke macht sich diese Verzögerung zunutze, um festzustellen, welche Befehle spekulativ ausgeführt werden.

«Smotherspectre misst die Zeit für die Befehlssequenzen, die spekulativ ausgeführt werden, so dass ein Angreifer daraus ableiten kann, welche Befehlssequenzen ausgeführt wurden und bestimmen kann, was gemacht wird», erklärte EPFL-Forscher Mathias Payer gemäss der Mitteilung.

Die Sicherheitslücke lasse sich nicht leicht schliessen, da sie CPU-Hardware und nicht Software betrifft. «Auch wenn ein Softwareprogramm zu 100 Prozent sicher gegen Angriffe ist, kann es trotzdem durch diese Schwachstelle betroffen sein», so Payer. Intel müsste künftige Versionen ihrer CPUs anpassen, um diese Sicherheitslücke zu eliminieren. Die Forschenden haben ihre Ergebnisse bereits mit den Hardware-Herstellern Intel, AMD, OpenSSL und IBM geteilt, schrieb die EPFL.

Fachartikel dazu: «SMoTherSpectre: exploiting speculative execution through port contention», Cornell University

(dsc/sda)

Das könnte dich auch interessieren:

Alle gegen Trump: Demokraten treten an zum ersten TV-Duell

Link zum Artikel

Wer in Europa am meisten Dreckstrom produziert – und wie die Schweiz dasteht

Link zum Artikel

25 Bilder von Sportstars, die Ferien machen

Link zum Artikel

Mit diesen 10 Apps pimpst du dein Smartphone zum Büro für unterwegs

Link zum Artikel

Holland ist aus dem Häuschen, weil diesem Schwimmer gerade Historisches gelang

Link zum Artikel

Schneider-Ammanns Topbeamter gab vertrauliche Infos an Privatindustrie weiter

Link zum Artikel

Weshalb die Ära Erdogan jetzt schneller vorübergehen könnte, als du denkst

Link zum Artikel

Das sind die besten Rekruten der besten Armee der Welt

Link zum Artikel

9 «Ratschlag»-Klassiker, die du dir in Zukunft einfach mal sparen kannst

Link zum Artikel

Christian Wasserfallen nicht mehr FDP-Vize – wegen der Klimafrage?

Link zum Artikel
Alle Artikel anzeigen

Abonniere unseren Newsletter

0
Bubble Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 48 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
0Alle Kommentare anzeigen

Falls du dein Handy mit einem dieser PIN-Codes schützt, hast du ein Problem

Hände weg von diesen vierstelligen Zahlen-Kombinationen!, warnt eine IT-Sicherheitsexpertin.

Mehr als 25 Prozent der Smartphones können mit einer der 20 am häufigsten verwendeten vierstelligen PINs geknackt werden. Die IT-Sicherheitsexpertin Tarah Wheeler hat kürzlich via Twitter eine Liste der angeblich beliebtesten (und darum unsichersten) Zahlencodes verbreitet:

Die Zahlen stammten vom SANS-Institut. Das ist eine genossenschaftlich organisierte Forschungs- und Ausbildungsorganisation, die Fachwissen und Trainings rund um IT-Sicherheit vermittelt. Weeler erwähnt in einem Tweet den …

Artikel lesen
Link zum Artikel